HIPAAへの準拠

概要

米国における医療保険の相互運用性と説明責任に関する法律（HIPAA: Health Insurance Portability and Accountability Act）では、個人の医療情報を保護するため、医療情報を取り扱う事業者に対して一定の措置をとることが義務付けられています。Zohoは、HIPAAにより保護される医療情報を自社の目的のためには収集、使用、保存、保持しません。一方、Zohoの利用者（ユーザー）が、保護対象の医療情報をZohoに保存して管理する場合があります。Zoho Oneには、こうした場合にHIPPAに準拠した形で適切に情報を扱えるようにするための機能が用意されています。

HIPAAでは、自社以外の事業者と提携したり他の事業者が提供するサービスを用いて情報を管理したりする場合に、業務提携契約（BAA: Business Associate Agreement）を締結することが義務付けられています。Zoho Oneの利用に関する業務提携契約書のテンプレートを希望する場合は、legal@zohocorp.comにお問い合わせください（対応は英語です）。

HIPAAへの準拠に関するZoho Oneの機能

Zoho Oneでは、顧客の医療情報を保護するための機能が用意されています。実行できる操作は、次のとおりです。

保護対象医療情報を管理する項目を指定する
保護対象医療情報を含む項目の値を暗号化する
保護対象医療情報をエクスポート（出力）する際にパスワードで保護する
監査ログ（操作履歴）を確認する

保護対象医療情報を管理する項目を指定する

Zoho Oneでは、保護対象医療情報を管理する項目を指定することができます。保護対象医療情報を管理するための項目を新しく作成することも、既存の項目を保護対象医療情報の管理用の項目として指定することも可能です。

保護対象医療情報を管理する項目を指定するには

管理画面で、［ユーザー］に移動します。
［項目の管理］→［カスタム項目を追加する］をクリックします。
［保護対象の電子的医療情報（ePHI）を含む］の設定を有効にします。また、その他の項目の値を入力します（参考情報：項目の追加）。

既存の項目を保護対象医療情報の管理用の項目として指定するには

管理画面で、［ユーザー］に移動します。
［項目の管理］をクリックします。
保護対象医療情報を管理する項目にカーソルを合わせて［編集する］をクリックします。
［保護対象の電子的医療情報（ePHI）を含む］の設定を有効にし、［更新する］をクリックします。

なお、チェックボックス、小数、パーセント、選択リストの種類の項目は、保護対象の電子的医療情報（ePHI）を含む項目として設定できません。保護対象の電子的医療情報（ePHI）の詳細についてはこちらをご参照ください。

新しい項目の追加時に保護対象の電子的医療情報（ePHI）として設定することもできます。詳細はこちら。

保護対象医療情報を含む項目の値を暗号化する

Zoho Oneでは、保護対象の電子的医療情報（ePHI）として設定されたすべての項目の値は、自動で暗号化されます。Zohoの暗号化対策についてはこちらをご参照ください。

保護対象医療情報をエクスポート（出力）する際にパスワードで保護する

Zoho Oneでは、管理画面からユーザーのデータをエクスポート（出力）できます。その際に、出力したファイルに対するパスワードを設定することが可能です。詳細はこちら。

監査ログ（操作履歴）を確認する　

HIPAAの適用対象となる医療サービスを提供する事業者は、定期的に監査ログ（操作履歴）のデータを取得し、一定期間保存することが求められます。Zoho Oneでも、監査ログのデータが記録されており、必要に応じて確認できます。保護対象の電子的医療情報（ePHI）の監査ログのデータの取得をご希望の場合は、support@zohoone.comにお問い合わせください。